CVE-2026-9629

Nome do Software Vulnerável e Versões Afetadas Canvas plugin for WordPress versões anteriores a 2.5.3

Description O Cross-Site Scripting Armazenado ocorre devido à sanitização de entrada e escape de saída insuficientes. Atacantes autenticados com nível de acesso de contribuidor ou superior podem injetar scripts web arbitrários através do parâmetro tag. Esses scripts são executados sempre que um usuário acessa a página afetada.

Recommendations Atualize o plugin para uma versão posterior a 2.5.2. Como medida paliativa temporária, restrinja o acesso ao parâmetro tag para usuários com permissões de nível de contribuidor.